RPO
信息系统和数据必须恢复到的时间点要求。
4 备份能力
4.1 备份能力的含义
经营机构信息系统备份能力包括数据备份能力、故障应对能力、灾难应对能力和重大灾难应对能力。
数据备份能力是指在发生人为破坏、软硬件故障、灾难灾害或突发公共安全事件等极端情况下,确保数据完整、可用的能力。
故障应对能力是指在发生软硬件故障等情况下,导致信息系统所支持的业务功能停顿或者性能指标严重下降时,确保信息系统及时恢复和继续运作的能力。
灾难应对能力是指在发生火灾等情况下,导致信息系统所在的数据中心不可用时,确保信息系统及时恢复和继续运作的能力,此类情况下,通常需要切换到灾难备份中心运行。
重大灾难应对能力是指在发生地震等情况下,导致信息系统所在城市或者地区电力、通信、交通严重瘫痪或人员伤亡时,确保信息系统及时恢复和继续运作的能力,此类情况下,通常需要切换到异地灾难备份中心运行。
对数据备份能力,从备份频率、保存方式和恢复验证等三个方面进行要求。对故障应对能力、灾难应对能力和重大灾难应对能力,分别从恢复时间目标(RTO)、恢复点目标(RPO)和性能容量等三个方面进行要求。
4.2 备份能力等级的定义
根据经营机构不同的业务类型、信息系统的特点,定义了六个等级的备份能力(见附录A),从低到高依次是:第一级、第二级、第三级、第四级、第五级、第六级。
第一级为数据备份级,包括对数据备份的要求;第二、三、四级为故障应对级,包括对数据备份的要求和对故障应对的要求,从行业实际出发,一般地,实时信息系统对应于第二、三、四级,非实时信息系统对应于第二级;第五级为灾难应对级,包括对数据备份的要求,对故障应对和灾难应对的要求;第六级为重大灾难应对级,包括对数据备份的要求,对故障应对、灾难应对和重大灾难应对的要求。
4.3 备份能力的需求确立
经营机构在进行信息系统设计和建设时,应确定信息系统在备份能力上的需求。信息系统备份能力的确定过程主要有以下三个步骤:
1.通过业务影响分析,明确信息系统的重要性。
2.通过风险评估,识别信息系统所面临的风险。
3.在业务影响分析和风险评估的基础上,确定信息系统的备份能力等级需求。
